米司法当局が4人のロシア政府関係者の起訴を明らかにした。4人は世界のエネルギー部門を標的としたサイバーキャンペーンにかかわっており、このキャンペーンは約135カ国の企業や組織のコンピューターを標的にしている。
ロシア国防省の研究所に帰属する組織で雇
アメリカでの起訴が明らかになったのは、Evgeny Viktorovich Gladkikhと、Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov、Marat Valeryevich Tyukovの4被告。Gladkikh被告は2021年6月にコロンビア特別区の米裁判所に、他の3被告は2021年8月にカンザス州の米裁判所に起訴され、起訴状は封印(sealed indictment)されていたが、米司法当局はこのほど起訴状を開封(unsealed)し公開した。
米司法当局によるとGladkikh被告と共謀者は2017年5月から9月までの間に海外の石油精製施設をハッキングしてシステムに障害を引き起こすなどした罪に問われている。開封された起訴状によると、Gladkikh被告はADCと略されるロシアのThe Applied Development Centerに雇用されている。ADCはモスクワにある化学と機械の中央科学研究所(CHIIHMまたはTsNIIKhM)に帰属している。中央科学研究所はロシア政府の研究機関で、同研究所のウェブサイトによるとロシア国防省の研究機関だという。よってGladkikh被告は、ロシア国防省の研究所に帰属している組織に雇われている人物ということになる。
ちなみにCHIIHMまたはTsNIIKhMと呼ばれているモスクワの中央科学研究所の設立は、ロシア帝政時代の1894年にサンクトペテルブルクに設立された無煙火薬の研究所をルーツとし、この研究所はソビエト連邦成立後にモスクワに移り、1937年にNII-6という名称の科学研究所になった。NII-6では、第二次世界大戦においてソビエト軍が使用したカチューシャ兵器、自走式多連装ロケット砲の個体推進剤を開発するなどしたという。ソ連崩壊後は民間の研究所となったが、2005年にロシア国防省の機関である連邦技術輸出管理局(FSTEK)に従属する研究機関となり、現在は人工衛星、ナノテクノロジー、ロケット、サイバーなどといった分野において、武器や新たな軍事装備品の研究・開発を手掛けているという。
産業システムを攻撃するマルウェアを開発か?
起訴状によると、2014年8月12日頃、中央科学研究所の職員が悪意のあるファイルが検出可能かどうかテストをすることができるオンラインサービスにアクセスし、cryptcatと呼ばれるツールの修正バージョンをアップロードした。2017年4月6日頃、再び中央科学研究所の職員がcryptcatのさらに修正したバージョンを同じオンラインサービスにアップロードして検出が可能かどうかをテストした。そして、2017年5月頃、Gladkikh被告が某企業の石油精製所のITシステムに不正アクセス、産業システムの制御プロセスを監視するシュナイダーエレクトロニック社製の安全計装システム(SIS)であるTriconexのログにアクセスして施設のサイバーセキュリティシステムを無効にした。
その上でGladkikh被告と共謀者はコンピューターネットワーク上に修正バージョンのcryptcatを実行、2017年6月2日にTRITON(別名Trisis)マルウェアの初期バージョンをインストール、その結果、Triconexに障害が検出され、石油精製所のシステムがシャットダウンした。もしセーフティが起動しなければ爆発や有毒ガスが放出した恐れがあった。
サイバーセキュリティのマンディアントによると、マルウェアTRITONはTriconexコントローラーを不正操作するために開発されたマルウェアで、本来は物理的な損害を与えることを目的に開発されたものではないかという。産業制御システムを狙ったマルウェアには、イランを標的としたStuxnetがよく知られているが、マンディアントによると他に2016年にウクライナを標的にしたIndustroyerがあり、「安全装置の本来の機能を不能にし、物理的な破壊をもたらすという点で、TRITONはこれらの攻撃と似ている」と分析している。
3被告は連邦保安局Center16のメンバー
また起訴状によると、Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov、Marat Valeryevich Tyukovの3被告はロシアの諜報機関、FSB(連邦保安局)の将校だ。FSBは複数のユニットで構成されており、サイバーセキュリティ研究者の間でDragonfly、Berzerk Bear、Energetic Beare、Crouching Yetiなどと呼ばれているキャンペーンを仕掛けているFSB内のCenter16と呼ばれる軍事ユニット71330のメンバーだという。
起訴状によると、一連のキャンペーンには2つのフェーズが含まれており、サイバーセキュリティ研究者によって「Dragonfly」「Havex」などと呼ばれている2012年から2014年の間に行われた攻撃では、サプライチェーン攻撃を展開し、ICS / SCADAシステムメーカーとソフトウェアプロバイダのコンピュータネットワークを侵害し、マルウェア(一般に「Havex」として知られている)をソフトウェアのアップデートを悪用して顧客のシステムに感染させ、感染したシステムにバックドアを作成し、スピアフィッシングや「水飲み場」攻撃を行った。アメリカと海外の17,000以上のデバイスにマルウェアをインストールした、という。
また、2014年から2017年の間に行われた攻撃では、原子力規制委員会などのアメリカ政府機関、500以上のアメリカおよび国際的な企業や団体の3,300人以上を標的にスピアフィッシング攻撃が行われ、この中には原子力発電所を運営するカンザス州バーリントンのウルフクリーク原子力運営会社(Wolf Creek)のビジネスネットワークへの侵害も含まれている。こうしたエネルギー施設へのハッキングキャンペーンは、アメリカに対してだけでなくアメリカ以外の135カ国以上をも標的にしていたという。
4被告はいずれも昨年起訴されたが逮捕には至っておらず、これまで起訴状は封印されていたが、ここにきてアメリカ当局が起訴状を開封して公開に踏み切ったのはウクライナ情勢をめぐる米露関係の対立が反映しているものとみられ、ワシントンポスト紙は「ロシアのハッキング脅威に対してアメリカの企業に警戒を強化することが狙い」と論評している。
